shiro的会话管理器SessionManager

SessionManager会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。

public interface SessionManager {  
  Session start(SessionContext context);  //启动会话 
 Session getSession(SessionKey key) throws SessionException;  //根据会话Key获取会话 
}

它的实现继承类

用于Web环境的WebSessionManager又提供了如下接口

boolean isServletContainerSessions();//是否使用Servlet容器的会话

ValidatingSessionManager 用于验资并过期会话接口

void validateSessions();//验证所有会话是否过期

Shiro提供了三个默认实现：
DefaultSessionManager：DefaultSecurityManager使用的默认实现，用于JavaSE环境；
ServletContainerSessionManager：DefaultWebSecurityManager使用的默认实现，用于Web环境，其直接使用Servlet容器的会话；
DefaultWebSessionManager：用于Web环境的实现，可以替代ServletContainerSessionManager，自己维护着会话，直接废弃了Servlet容器的会话管理。

设置会话的全局过期时间（毫秒为单位），默认30分钟

public void setGlobalSessionTimeout(long globalSessionTimeout)

默认情况下globalSessionTimeout将应用给所有Session。可以单独设置每个Session的timeout属性来为每个Session设置其超时时间。

另外如果使用ServletContainerSessionManager进行会话管理，Session的超时依赖于底层Servlet容器的超时时间，可以在web.xml中配置其会话的超时时间（分钟为单位）：

<session-config>  
  <session-timeout>30</session-timeout>  
</session-config>

在Servlet容器中，默认使用JSESSIONID Cookie维护会话，且会话默认是跟容器绑定的；在某些情况下可能需要使用自己的会话机制，此时我们可以使用DefaultWebSessionManager来维护会话：

    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <!-- 设置Cookie名字, 默认为: JSESSIONID 问题: 与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID,
        当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重新分配值导致登录会话丢失! -->
        <property name="name" value="freeway.session.id"/>
		<!-- 设置Cookie的域名，默认空，即当前访问的域名 -->
        <property name="domain" value="taobao.com"/>
		<!-- 设置Cookie的路径，默认空，即存储在域名根下 -->
        <property name="path" value=""/>
		<!-- 设置Cookie的过期时间，秒为单位，默认-1表示关闭浏览器时过期Cookie -->
        <property name="maxAge" value="1800"/>
		<!-- 如果设置为true，则客户端不会暴露给客户端脚本代码，使用HttpOnly cookie有助于减少某些类型的跨站点脚本攻击；此特性需要实现了Servlet 2.5 MR6及以上版本的规范的Servlet容器支持 -->
        <property name="httpOnly" value="false"/>
    </bean>

下面来看SessionManager的配置

	<!-- 会话管理器 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <!-- session的失效时长，单位毫秒 -->
        <property name="globalSessionTimeout" value="180000"/>
        <!-- 删除失效的session -->
        <property name="deleteInvalidSessions" value="true"/>       
        <!-- 启用Cookie -->		
		<property name="sessionIdCookieEnabled" value="true"/>
		<!-- 配置Cookie -->
        <property name="sessionIdCookie" ref="sessionIdCookie"/>
		<!-- 设置创建会话工厂 -->
        <property name="sessionFactory" ref="sessionFactory"/>
		<!-- 设置SessionDAO用于会话的CRUD，即DAO（Data Access Object）模式实现 -->
        <property name="sessionDAO" ref="sessionDAO"/>
		<!-- 设置会话监听 -->
        <property name="sessionListeners" ref="sessionListener"/>
        <!-- 设置调度时间间隔，单位毫秒，默认就是1小时 -->
        <property name="sessionValidationInterval" value="3000000"/>
		<!-- 是否开启会话验证器，默认是开启的 -->
        <property name="sessionValidationSchedulerEnabled" value="true"/>
		<!-- 设置会话验证调度器 -->
        <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>
    </bean>

shiro的会话管理器SessionManager

悦读